Alles Wat Je Moet Weten Over Bureau 121

Bureau 121 is de voornaamste hackeenheid van Noord-Korea. De elite militaire eenheid van hackers werkt onder het Reconnaissance General Bureau, of RGB, het geheime Noord-Koreaanse spionageagentschap.

De overtuiging is dat de cyberoperaties van het Bureau een kosteneffectieve manier zijn voor Noord-Korea om een asymmetrische militaire optie te behouden en een middel om inlichtingen te verzamelen. De voornaamste inlichtingendoelwitten zijn Zuid-Korea, Japan en de Verenigde Staten. Daarnaast gebruikt Noord-Korea naar verluidt zijn cyberoorlogscapaciteiten voor spionage en ondersteunt het zijn propaganda.

De Eenheid richt zich op verschillende sectoren, waaronder farmaceutische fabrikanten, onderzoeksinstellingen, financiële instellingen, IT-bedrijven, overheidsorganisaties en grote biotechnologiebedrijven. Het primaire doel is het uitvoeren van destructieve en spionageactiviteiten tegen doelnetwerken en -systemen wereldwijd.

Bureau 121 heeft vier belangrijke ondergeschikte eenheden, de Andariel Group, The Bluenoroff Group, een Elektronische Oorlogsvoering Jamming Regiment, en de Lazarus Group.

Korte Geschiedenis van Bureau 121

Sinds de oprichting van Bureau 121 in de jaren 80, is het snel uitgebreid sinds 1998. Een deel van de eenheid staat soms bekend als de DarkSeoul Gang. Hoewel Noord-Korea een van de armste landen blijft, investeert het veel in Bureau 121. De eenheid heeft een geschatte ledenbasis van 6.000 leden en is de enige Noord-Koreaanse organisatie die buiten haar grenzen opereert. Bureau 121 voert operaties uit om geld te onttrekken van organisaties over de hele wereld door middel van verschillende tactieken.

De militaire cybermacht van Noord-Korea zou naar verluidt bestaan uit 3.000-6.000 personeelsleden die werken bij Bureau 121, binnen het Reconnaissance General Bureau van de teruggetrokken natie. Hun meest opmerkelijke prestaties zijn de aanvallen op Zuid-Koreaanse banken en mediakanalen die hen in 2013 enkele dagen offline dwongen.

Het RGB (Reconnaissance General Bureau) is de belangrijkste militaire inlichtingendienst van Noord-Korea. Bureau 121, samen met het RGB, zou verantwoordelijk zijn voor de WannaCry ransomware-aanval in 2017, de cyberaanval op Sony Pictures Entertainment in 2014, en talrijke cybercriminaliteit. Het RGB wordt geschat meer dan 6.000 hackers te controleren, ondersteund door meer dan 1.000 technische medewerkers.

RGB zou naar verluidt leden voor Bureau121 hebben geselecteerd op basis van aanleg voor hacken en computergebruik. Mensen vrezen deze groep hackers over de hele wereld vanwege hun vermogen om commerciële organisaties, financiële instellingen en militaire systemen te infiltreren en uit te schakelen.

Bureau 121 is gespecialiseerd in sabotage en spionage in het buitenland. Het omvat cyberoorlogvoering, fysieke aanvallen op sleutelpersoneel en zelfs het chanteren van overlopers die Noord-Korea ontvlucht zijn naar het Westen. Om een ‘geheime oorlog’ te voeren, handelt Bureau 121 om vijanden van Pyongyang te saboteren of te bespioneren.

Naar verluidt succesvolle aanvallen van Bureau 121

Bureau 121 lanceerde een reeks aanvallen, vooral tijdens zijn actieve jaren. Het zou verantwoordelijk zijn voor aanvallen in zowel de private als de publieke sector in verschillende landen.

Sony Pictures

In november 2014 viel een groep hackers Sony Pictures Entertainment aan. Ze kregen ongeautoriseerde toegang tot het netwerk van het bedrijf en hackten persoonlijke informatie en harde schijven van mensen. De hackers eisten dat Sony de film “The Interview” zou terugtrekken. De datalek had grote gevolgen. Persoonlijke informatie en salarissen, bedrijfse-mails, en onuitgebrachte films, plannen en scripts werden gehackt. Daarnaast werden verschillende nog niet uitgebrachte films online gelekt, waaronder “Fury,” “Annie,” en “Mr. Turner.” De computerinfrastructuur van Sony werd ook vernietigd.

De FBI deed onderzoek, en de Amerikaanse overheid wees met de vinger naar Noord-Korea.

Naast het stelen van gevoelige informatie van de filmstudio en het openbaar maken ervan, dwongen de hackers ook veel van SPE’s computersystemen offline te gaan — inclusief e-mail.  

Tijdens de hack verzocht de organisatie Sony om zijn destijds aanstaande film “The Interview” – een komedie over een moordaanslag op de Noord-Koreaanse leider Kim Jong-un – te laten vallen en dreigde met terroristische aanslagen op bioscopen die de film zouden vertonen. Nadat veel grote Amerikaanse bioscoopketens ervoor kozen om “The Interview” niet te vertonen als reactie op deze dreigementen, annuleerde Sony de officiële première en de reguliere release van de film, en koos ervoor om direct over te gaan op een downloadbare digitale release gevolgd door een beperkte bioscooprelease de volgende dag.

Sony’s besluit om de stekker uit de bioscoopdistributie van “The Interview” te trekken resulteerde in enorme financiële boetes. Echter, de reputatie van de filmstudio had al een grote klap gekregen. 

De Amerikaanse overheid concludeerde dat de Noord-Koreaanse overheid achter de aanval zat, maar ze hebben nooit publiekelijk bewijs geleverd om dergelijke beschuldigingen te ondersteunen. Toch hebben particuliere beveiligingsbedrijven aanwijzingen gevonden die wijzen naar Bureau 121.

SWIFT Bankieren 

In 2015/2016 werd een reeks cyberaanvallen die het SWIFT-banknetwerk exploiteerden onthuld, waarbij succesvol miljoenen dollars werden gestolen. Het werd toegeschreven aan de Noord-Koreaanse regering, en als dit bevestigd zou worden, zou het de eerste bekende zaak van door de staat gesponsorde cybercriminaliteit zijn geweest.

Experts vermoeden echter dat de hackgroep Lazarus Group (een dochteronderneming van Bureau 121) verantwoordelijk is voor spraakmakende misdaden zoals de hack van Sony Pictures, de diefstal bij de Bangladesh Bank en verschillende andere cyberaanvallen wereldwijd.

De hackers gebruikten malware en phishing-e-mails om de banksystemen binnen te dringen en de accounts van hoogwaardige doelen te kapen. Als de toewijzing aan Noord-Korea bevestigd zou worden, zou het de eerste keer zijn dat een staatsentiteit cyberaanvallen gebruikte om fondsen te stelen. De hackers gebruikten geavanceerde malware en spear-phishingberichten om toegang te krijgen tot banknetwerken. Vervolgens manipuleerden ze SWIFT-berichten om fondsen over te maken.

De Noord-Koreaanse regering heeft naar verluidt haar cyberhackers opgedragen om banken in zo’n 18 landen te targeten. Het was een poging om fondsen te werven om internationale sancties te omzeilen.

De internationale gemeenschap heeft Noord-Korea gesanctioneerd vanwege zijn ballistische raket- en nucleaire tests. Dit betekent natuurlijk dat de kluizenaarsnatie is afgesneden van internationale banken. Om dit te omzeilen, geloven experts dat Noord-Koreaanse functionarissen hackers hebben ingezet om banken in zo’n 18 landen te targeten. De hackers kregen de opdracht om zoveel mogelijk geld te stelen via frauduleuze middelen, zodat de Noord-Koreaanse regering het kon gebruiken om zijn militaire programma’s te financieren.

De aanvallers maakten gebruik van talrijke kwetsbaarheden in de banksystemen van de aangesloten banken. Hierdoor konden ze de controle over de swift-gegevens van de banken krijgen. Vervolgens gebruikten de dieven die gegevens om SWIFT geldoverboekingsverzoeken naar andere banken te sturen. Van daaruit werd het geld overgemaakt naar rekeningen die door de hackers werden gecontroleerd, waarbij de berichten als authentiek werden vertrouwd.

WannaCry Ransomware-aanval

In mei 2017 werden computers over de hele wereld aangevallen door ransomware bekend als WannaCry. De cyberaanval maakte gebruik van een softwarekwetsbaarheid die naar verluidt was geïdentificeerd door de Amerikaanse National Security Agency (NSA) en een maand eerder gepubliceerd door de hackersorganisatie The Shadow Brokers.

De cyberaanvallers versleutelden gegevens en eisten losgeldbetalingen in de Bitcoin-cryptocurrency. De WannaCry ransomware cyberaanval was een belangrijke digitale “wake-up call” die zich richtte op computers en netwerken die draaien op het Windows-besturingssysteem. Daarnaast maakte de malware jacht op oudere systemen die nog steeds een exploit draaiden die ontwikkeld was door de NSA van de Verenigde Staten, welke door The Shadow Brokers was gestolen en gelekt.

De ransomware verspreidde zich over de hele wereld, drong computers binnen met oudere Windows-besturingssystemen en versleutelde bestanden. Het richtte ravage aan in ziekenhuizen in het VK, FedEx in de VS, en vele andere slachtoffers wereldwijd. Veel gebruikers verloren tijdens deze aanvallen toegang tot hun bestanden en konden alleen weer toegang krijgen na het betalen van het losgeld in bitcoin.

Echter, veel van de patches waren al zes maanden beschikbaar voor de aanval. Tegen medio 2016 waren alle ondersteunde versies gepatcht voor de kwetsbaarheden. Desondanks vormde het nog steeds een bedreiging voor degenen die ongepatchte of niet-ondersteunde systemen gebruikten, zoals Windows XP. Het suggereert dat er een gebrek was aan “reverse engineering” om de onbekende malware te inspecteren door zijn decryptors te scannen en zijn malwarecodes te bekijken bij de eerste ontdekking.

De aanval begon in mei 2017 en was geen eenmalige gebeurtenis. Het infecteerde meer dan 230.000 computers in meer dan 150 landen, met verliezen van meer dan $4 miljard op alleen de eerste dag. Federale aanklagers van de Verenigde Staten verklaarden de volgende dag dat Noord-Korea achter de aanval zat.

Aanval op Zuid-Korea 

Op of rond 20 maart 2013 veroorzaakte een vermoedelijke Noord-Koreaanse cyberaanval dat drie Zuid-Koreaanse televisiestations en een bank hun computerteminals verloren in een vermoedelijke daad van cyberoorlogvoering.

Ongeveer 19.000 computers en servers bij grote Zuid-Koreaanse omroepen en banken werden getroffen.

KBS, MBC en YTN zonden ongeveer 15 minuten lang een leeg scherm uit. De banken—Shinhan, Nonghyup en Jeju Bank—konden ook niet functioneren nadat de aanval hun computernetwerken ernstig had aangetast. Daarnaast waren veel geldautomaten buiten werking, wat eraan herinnert dat kritieke infrastructuur zoals banksystemen kwetsbaar zijn voor cyberaanvallen.

Alle getroffen organisaties waren verbonden met één gemeenschappelijk netwerk, wat impliceert dat de hackers waarschijnlijk een zwakte in dat netwerk hebben getarget. De aanvallers leken zich vooral te richten op het volledig wissen van bestanden in plaats van het eisen van losgeld. Het is momenteel onduidelijk hoe de groep dit heeft uitgevoerd of wie erachter zat. De aanvallen vonden plaats rond 20:00 uur op 20 maart en werden na 17 uur onder controle gebracht.

Kwaadaardige codes werden via browser- of webpagina kwetsbaarheden op gebruikerscomputers vrijgegeven. De code werd alleen geactiveerd wanneer bepaalde websites werden bezocht. Het voerde de aanval uit door bestanden op harde schijven te verwijderen.

De computerharde schijven van grote uitzendstations en banken in Zuid-Korea werden systematisch gewist, wat 32.000 computers trof. De aanvallers verwijderden de meest kritieke bestanden van drie KBS, MBC en YTN. Het trof ook twee banken – Shinhan Bank en Jeju Bank. Men denkt dat de aanval een door de staat gesponsorde synthetische aanval was die verschillende malwarestammen gebruikte. Hoewel Noord-Korea breed werd verdacht als de agressor, is er geen officiële vaststelling gemaakt.

Conclusie

Bureau 121 is een topgeheime Noord-Koreaanse organisatie van deskundige computerhackers. Ze zijn beschuldigd van het hacken van internationale banken en verschillende bedrijven in de afgelopen jaren. Bureau 121 zoekt traditionele wonderkinderen uit. De groep werft voornamelijk jongeren en leidt hen op tot uitmuntende hackers. Ze sturen hen de wereld over om verwoesting aan te richten bij hun vijanden.